{"id":1648129,"date":"2025-03-31T22:45:06","date_gmt":"2025-03-31T22:45:06","guid":{"rendered":"https:\/\/teknomers.com\/es\/gamaredon-vinculado-a-rusia-usa-senuelos-relacionados-con-la-tropa-para-desplegar-remcos-rat-en-ucrania\/"},"modified":"2025-03-31T22:45:11","modified_gmt":"2025-03-31T22:45:11","slug":"gamaredon-vinculado-a-rusia-usa-senuelos-relacionados-con-la-tropa-para-desplegar-remcos-rat-en-ucrania","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/gamaredon-vinculado-a-rusia-usa-senuelos-relacionados-con-la-tropa-para-desplegar-remcos-rat-en-ucrania\/","title":{"rendered":"Gamared\u00f3n vinculado a Rusia usa se\u00f1uelos relacionados con la tropa para desplegar REMCOS RAT en Ucrania"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">31 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Inteligencia de amenazas \/ malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Gamaredon-vinculado-a-Rusia-usa-senuelos-relacionados-con-la-tropa.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Las entidades en Ucrania han sido atacadas como parte de una campa\u00f1a de phishing dise\u00f1ada para distribuir un troyano de acceso remoto llamado REMCOS RAT.<\/p>\n<p>&#8220;Los nombres de archivo usan palabras rusas relacionadas con el movimiento de tropas en Ucrania como se\u00f1uelo&#8221;, el investigador de Cisco Talos Guilherme Venere <a rel=\"noopener nofollow\" href=\"https:\/\/blog.talosintelligence.com\/gamaredon-campaign-distribute-remcos\/\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada. &#8220;El descargador de PowerShell contacta a los servidores geogr\u00e1ficos ubicados en Rusia y Alemania para descargar el archivo zip de la segunda etapa que contiene la puerta trasera REMCOS&#8221;.<\/p>\n<p>La actividad se ha atribuido con una confianza moderada a un grupo de pirater\u00eda ruso conocido como Gamaredon, que tambi\u00e9n se rastrea bajo los apodos Aqua Blizzard, Armageddon, Blue OTSO, Bluealpha, Hive0051, Iron Tilden, primitivo oso, shuckworm, trident USSA, UAC-0010, UNC530 y invierno. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-securesuite\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/1740827649_433_Mozilla-actualiza-los-terminos-de-Firefox-nuevamente-despues-de-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>El actor de amenaza, evaluado como afiliado al Servicio Federal de Seguridad de Rusia (FSB), es conocido por su objetivo de organizaciones ucranianas por espionaje y robo de datos. Est\u00e1 operativo desde al menos 2013.<\/p>\n<p>La \u00faltima campa\u00f1a se caracteriza por la distribuci\u00f3n de archivos de acceso directo de Windows (LNK) comprimido dentro de los archivos zip, disfraz\u00e1ndolos como documentos de Microsoft Office relacionados con la guerra en curso ruso-ucraniana para enga\u00f1ar a los destinatarios para que los abran. Se cree que estos archivos se env\u00edan a trav\u00e9s de correos electr\u00f3nicos de phishing.<\/p>\n<p>Los enlaces a Gamaredon provienen del uso de dos m\u00e1quinas que se utilizaron para crear los archivos de acceso directo malicioso y que fueron <a rel=\"noopener nofollow\" href=\"https:\/\/blog.talosintelligence.com\/following-the-lnk-metadata-trail\/\" target=\"_blank\">previamente utilizado<\/a> por el actor de amenaza para fines similares.<\/p>\n<p>Los archivos LNK vienen equipados con el c\u00f3digo PowerShell que es responsable de descargar y ejecutar el comando de carga de carga \u00fatil de la pr\u00f3xima etapa, as\u00ed como para obtener un archivo de se\u00f1uelo que se muestra a la v\u00edctima para mantener la artima\u00f1a.<\/p>\n<p>La segunda etapa es otro archivo ZIP, que contiene una DLL maliciosa que se ejecutar\u00e1 a trav\u00e9s de una t\u00e9cnica denominada carga lateral de DLL. El DLL es un cargador que descifra y ejecuta la carga \u00fatil REMCOS final de los archivos cifrados presentes dentro del archivo.<\/p>\n<p>La divulgaci\u00f3n se produce cuando Silent Push detall\u00f3 una campa\u00f1a de phishing que utiliza se\u00f1uelos del sitio web para recopilar informaci\u00f3n contra las personas rusas que simpatizan con Ucrania. Se cree que la actividad es obra de servicios de inteligencia rusos o un actor de amenaza alineado con Rusia.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cloud-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-pico-de-Botnet-de-Vo1d-supera-a-159-millones.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La campa\u00f1a consta de cuatro grupos de phishing principales, que se hace pasar por la Agencia Central de Inteligencia de los Estados Unidos (CIA), el Cuerpo de Voluntarios de Rusia, Legion Liberty y Hochuzhit &#8220;Quiero vivir&#8221;, un <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/I_Want_to_Live_(hotline)\" target=\"_blank\">l\u00ednea directa<\/a> por recibir apelaciones de miembros del servicio ruso en Ucrania para rendirse a las Fuerzas Armadas de Ucrania.<\/p>\n<p>Se ha encontrado que las p\u00e1ginas de phishing est\u00e1n alojadas en un proveedor de alojamiento a prueba de balas, Nybula LLC, con los actores de amenaza que conf\u00edan en las formularios de Google y las respuestas por correo electr\u00f3nico para recopilar informaci\u00f3n personal, incluidas sus puntos de vista pol\u00edticos, malos h\u00e1bitos y aptitud f\u00edsica, de las v\u00edctimas.<\/p>\n<p>&#8220;Todas las campa\u00f1as [&#8230;] observado ha tenido rasgos similares y compartido un objetivo com\u00fan: recopilar informaci\u00f3n personal de v\u00edctimas de visitas al sitio &#8220;, Silent Push <a rel=\"noopener nofollow\" href=\"https:\/\/en.wikipedia.org\/wiki\/I_Want_to_Live_(hotline)\" target=\"_blank\">dicho<\/a>. &#8220;Estos honeypots de phishing son probablemente el trabajo de los servicios de inteligencia rusos o un actor de amenaza alineado con los intereses rusos&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/russia-linked-gamaredon-uses-troop.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80231 de marzo de 2025\ue804Ravie LakshmananInteligencia de amenazas \/ malware Las entidades en Ucrania han sido atacadas como<\/p>\n","protected":false},"author":1,"featured_media":1648130,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,99,5635,109316,273784,273783,4654,273782,4659,4653,4655,18,63637,37426,145130,457,246983,4665,246984,44886,90898,353,10875,12460,455,239484],"class_list":["post-1648129","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-con","tag-desplegar","tag-gamaredon","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-rat","tag-relacionados","tag-remcos","tag-rusia","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-senuelos","tag-tropa","tag-ucrania","tag-usa","tag-vinculado","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1648129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1648129"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1648129\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1648130"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1648129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1648129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1648129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}